HIGHCVE-2026-35401CVSS 7.5

Saleorにおいて、GraphQLクエリにリソース枯渇の脆弱性が存在します

Q: CVE-2026-35401 — リソース枯渇の脆弱性はSaleorで何ですか？

CVE-2026-35401は、Saleorのバージョン2.0.0から3.23.0a3未満、3.22.47、3.21.54、3.20.118に影響を与えるリソース枯渇の脆弱性です。攻撃者はGraphQLクエリを悪用してDoS攻撃を引き起こす可能性があります。

Q: CVE-2026-35401はSaleorで影響を受けますか？

Saleorのバージョン2.0.0から3.23.0a3未満、3.22.47、3.21.54、3.20.118を使用している場合は影響を受けます。バージョン3.23.0a3、3.22.47、3.21.54、3.20.118へのアップデートが必要です。

Q: CVE-2026-35401はSaleorでどのように修正しますか？

Saleorのバージョン3.23.0a3、3.22.47、3.21.54、または3.20.118にアップデートしてください。アップデートができない場合は、WAFルールでGraphQL APIへのアクセスを制限してください。

Q: CVE-2026-35401は積極的に悪用されていますか？

現時点では公開されているPoCは確認されていませんが、GraphQL APIの脆弱性は悪用される可能性が高いため、注意が必要です。

Q: CVE-2026-35401のSaleor公式アドバイザリはどこで入手できますか？

Saleorの公式アドバイザリは、Saleorのセキュリティ情報ページで確認できます。https://saleor.io/security/

プラットフォーム

nodejs

コンポーネント

saleor

修正版

2.0.1

3.21.1

3.22.1

3.23.1

AI Confidence: highNVDEPSS 0.1%レビュー済み: 2026年5月

NVDで見る

保存

CVE-2026-35401は、e-commerceプラットフォームSaleorにおけるリソース枯渇の脆弱性です。攻撃者は、GraphQLのエイリアスや複数のミューテーションのチェーンを利用して、単一のAPI呼び出しに多数のGraphQLミューテーションやクエリを含めることで、サーバーのリソースを枯渇させ、サービス拒否(DoS)を引き起こす可能性があります。この脆弱性は、Saleorのバージョン2.0.0から3.23.0a3未満、3.22.47、3.21.54、3.20.118に影響を与えます。バージョン3.23.0a3、3.22.47、3.21.54、3.20.118へのアップデートで修正されています。

影響と攻撃シナリオ

この脆弱性を悪用されると、攻撃者はSaleorのAPIエンドポイントに大量のGraphQLクエリを送信することで、サーバーのリソースを過剰に消費させることができます。これにより、Saleorのパフォーマンスが著しく低下し、最終的にはサービスが利用不能になる可能性があります。攻撃者は、顧客の注文処理や決済処理を妨害し、ビジネスに深刻な損害を与える可能性があります。この攻撃は、特に高負荷時に影響を与えやすく、大規模なe-commerceサイトでは、広範囲にわたるサービス停止を引き起こす可能性があります。類似のGraphQLインジェクション攻撃は、他のアプリケーションでも確認されており、Saleorの脆弱性は、GraphQL APIのセキュリティ設計における潜在的な問題を浮き彫りにしています。

悪用の状況

この脆弱性は、2026年4月8日に公開されました。現時点では、公開されているPoCは確認されていませんが、GraphQL APIの脆弱性は悪用される可能性が高いため、注意が必要です。CISAのKEVリストへの登録状況は不明です。NVD（National Vulnerability Database）の情報も参照し、最新の動向を把握することが重要です。

リスク対象者翻訳中…

E-commerce businesses utilizing Saleor versions 2.0.0 through 3.23.0-a.0 (excluding patched versions) are at risk. This includes organizations running Saleor in production environments, particularly those with publicly accessible GraphQL endpoints. Shared hosting environments where multiple Saleor instances share resources are also at increased risk, as an attack on one instance could impact others.

検出手順翻訳中…

• nodejs / server:

ps aux | grep saleor

• nodejs / server:

journalctl -u saleor -f | grep "GraphQL query exceeded"

• generic web: Use a web proxy or browser developer tools to inspect GraphQL requests. Look for unusually long or complex queries with many aliases or chained mutations.

攻撃タイムライン

2026-04-08Disclosure
disclosure

脅威インテリジェンス

エクスプロイト状況

概念実証不明

CISA KEVNO

インターネット露出高

レポート1 脅威レポート

EPSS

0.05% (16% パーセンタイル)

CISA SSVC

悪用状況none

自動化可能yes

技術的影響partial

影響を受けるソフトウェア

コンポーネントsaleor

ベンダーsaleor

影響範囲修正版

>= 2.0.0, < 3.20.118 – >= 2.0.0, < 3.20.1182.0.1

>= 3.21.0-a.0, < 3.21.54 – >= 3.21.0-a.0, < 3.21.543.21.1

>= 3.22.0-a.0, < 3.22.47 – >= 3.22.0-a.0, < 3.22.473.22.1

>= 3.23.0-a.0, < 3.23.0a3 – >= 3.23.0-a.0, < 3.23.0a33.23.1

弱点分類 (CWE)

CWE-770

タイムライン

予約済み2026-04-02
公開日2026-04-08
EPSS 更新日2026-04-16

緩和策と回避策

Saleorのバージョン3.23.0a3、3.22.47、3.21.54、または3.20.118へのアップデートが推奨されます。アップデートが利用できない場合は、GraphQL APIへのアクセスを制限するWAF（Web Application Firewall）ルールを実装することで、攻撃を軽減できる可能性があります。具体的には、単一のAPI呼び出しに含まれるGraphQLクエリの数を制限するルールや、特定のGraphQLクエリパターンをブロックするルールを適用します。また、Saleorのログを監視し、異常なGraphQLクエリのパターンを検出することも有効です。アップデート後、SaleorのAPIエンドポイントに負荷をかけ、正常に動作することを確認してください。

修正方法

リソース枯渇の脆弱性を軽減するために、Saleorをバージョン3.23.0a3、3.22.47、3.21.54、または3.20.118にアップデートしてください。このアップデートは、GraphQLクエリが消費するリソースの量を制限し、サービス拒否攻撃を防ぎます。詳細なアップデート手順については、リリースノートを参照してください。

CVEセキュリティニュースレター

脆弱性分析と重要アラートをメールでお届けします。

よくある質問

CVE-2026-35401 — リソース枯渇の脆弱性はSaleorで何ですか？